本申请实施例提出了一种网络隔离方法、装置、设备和存储介质,所述方法包括:在数据链路层获取沙箱环境下的应用程序发往内网的网络数据包;在确定所述网络数据包为安全进程发送的数据包的情况下,对所述网络数据包中的第一路径进行修改,得到具有第二路径的网络数据包;所述第二路径指向预设的安全隧道;基于所述第二路径将具有所述第二路径的网络数据包,通过所述安全隧道发送给安全网关,实现对所述网络数据包的隔离。网络数据包的隔离。网络数据包的隔离。
【技术实现步骤摘要】
网络隔离方法、装置、设备及可读存储介质
[0001]本申请涉及网络安全技术,尤其涉及一种网络隔离方法、装置、设备及计算机可读存储介质。
技术介绍
[0002]相关技术中,沙箱隔离技术是在应用层实现沙箱隔离的,协议兼容性较差,并且会受到当前环境路由表的影响,可能导致网络隔离失效引发数据泄露安全问题,即,通过在应用层进行数据隔离,数据仍然可以通过某些应用层协议,或者通过网络层泄漏。同时,对网络包的拦截,也可能引发内外网地址冲突类的兼容问题。
技术实现思路
[0003]本申请实施例期望提供一种网络隔离的方法、装置、电子设备和计算机存储介质。
[0004]第一方面,本申请实施例提供了一种网络隔离方法,所述方法包括:
[0005]在数据链路层获取沙箱环境下的应用程序发往内网的网络数据包;
[0006]在所述网络数据包为安全进程发送的数据包的情况下,对所述网络数据包中的第一路径进行修改,得到具有第二路径的网络数据包;所述第二路径指向预设的安全隧道;
[0007]基于所述第二路径将具有所述第二路径的网络数据包,通过所述安全隧道发送给安全网关,实现对所述网络数据包的隔离。
[0008]第二方面,本申请实施例提供了一种网络隔离装置,所述装置包括:
[0009]第一获取模块,用于在数据链路层获取沙箱环境下的应用程序发往内网的网络数据包;
[0010]第一修改模块,用于在所述网络数据包为安全进程发送的数据包的情况下,对所述网络数据包中的第一路径进行修改,得到具有第二路径的网络数据包;所述第二路径指向预设的安全隧道;
[0011]第一发送模块,用于基于所述第二路径将具有所述第二路径的网络数据包,通过所述安全隧道发送给安全网关,实现对所述网络数据包的隔离。
[0012]第三方面,本申请实施例还提供了一种网络隔离设备,包括:存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述网络隔离方法中的步骤。
[0013]第四方面,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任一项所述网络隔离方法中的步骤。
[0014]在本申请实施例中,通过在数据链路层获取沙箱环境下的应用程序发往内网的网络数据包;在确定所述网络数据包为安全进程发送的数据包的情况下,对所述网络数据包中的第一路径进行修改,得到具有第二路径的网络数据包;所述第二路径指向预设的安全隧道;基于所述第二路径将具有所述第二路径的网络数据包,通过所述安全隧道发送给安全网关,实现对所述网络数据包的隔离,可以看出,由于该网络隔离方法是在沙箱的链路层
实现,没有网络层、传输层、应用层各种协议带来的兼容性问题,也不会导致网络隔离失效引发数据泄露安全问题且独立与系统原生网络环境,不会引发内外网冲突的情况。
[0015]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本申请。
附图说明
[0016]此处的附图被并入说明书中并构成本说明书的一部分,这些附图示出了符合本申请的实施例,并与说明书一起用于说明本申请的技术方案。
[0017]图1为相关技术中开放式系统互联(Open System Interconnection,OSI)模型的组成结构示意图;
[0018]图2为相关技术中传输控制协议/因特网互联协议(Transmission Control Protocol/Internet Protocol,TCP/IP)模型的组成结构示意图;
[0019]图3为相关技术中的沙箱的组成结构示意图;
[0020]图4为相关技术中TCP/IP模型和过滤层框架(Windows Filtering Platform,WFP)驱动、NDIS驱动之间的关系示意图;
[0021]图5为相关技术中沙箱网络隔离中数据包的路径示意图;
[0022]图6为本申请实施例提供的一种网络隔离方法的实现流程图;
[0023]图7为本申请实施例提供的另一种网络隔离方法的实现流程示意图;
[0024]图8为本申请实施例提供的又一种网络隔离方法的实现流程示意图;
[0025]图9为本申请实施例提供的再一种网络隔离方法的实现流程示意图;
[0026]图10为本申请实施例提供的还一种网络隔离方法的实现流程示意图;
[0027]图11为本申请实施例提供的实现网络隔离的主场景示意图;
[0028]图12为本申请实施例提供的网络包的网络传输路径示意图;
[0029]图13为本申请实施例提供的一种网络隔离装置的组成结构示意图;
[0030]图14为本申请实施例提供的一种网络隔离设备的组成结构示意图。
具体实施方式
[0031]以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所提供的实施例仅仅用以解释本申请,并不用于限定本申请。另外,以下所提供的实施例是用于实施本申请的部分实施例,而非提供实施本申请的全部实施例,在不冲突的情况下,本申请实施例记载的技术方案可以任意组合的方式实施。
[0032]需要说明的是,在本申请实施例中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素,而且还包括没有明确列出的其他要素,或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元,例如的单元可以是部分电路、部分处理器、部分程序或软件等等)。
[0033]本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,U和/或W,可以表示:单独存在U,同时存在U和W,单独存在W这三种情况。另外,本文
中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括U、W、V中的至少一种,可以表示包括从U、W和V构成的集合中选择的任意一个或多个元素。
[0034]为了方便理解,进行以下名词解释:
[0035]安全进程:允许访问内网的进程,数据包通过隧道到达安全网关,由安全网关代理访问。
[0036]非安全进程:不允许访问内网的普通进程。
[0037]网络隔离:创建一块独立的虚拟的网络环境,安全进程运行在虚拟环境中,仅允许访问虚拟网络环境中的资源。
[0038]进程识别:通过进程标记信息,获得进程属于安全进程或者非安全进程。
[0039]进程识别号(Process Identification,PID):各进程的身份标识,程序一运行系统就会自动分配给进程一个独一无二的PID,操作系统里每打开一个程序都会创建一个进程。
[0040]网络驱动程序接口规范(Network Driver Int本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络隔离方法,其特征在于,所述方法包括:在数据链路层获取沙箱环境下的应用程序发往内网的网络数据包;在所述网络数据包为安全进程发送的数据包的情况下,对所述网络数据包中的第一路径进行修改,得到具有第二路径的网络数据包;所述第二路径指向预设的安全隧道;基于所述第二路径将具有所述第二路径的网络数据包,通过所述安全隧道发送给安全网关,实现对所述网络数据包的隔离。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:获取对沙箱环境下的应用程序所触发的网络行为;所述在数据链路层获取沙箱环境下的应用程序发往内网的网络数据包,包括:在数据链路层获取所述应用程序响应于所述网络行为发往内网的网络数据包。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:在所述网络数据包为非安全进程发送的数据包且所述第一路径指向所述安全隧道的情况下,对所述网络数据包中的所述第一路径进行修改,得到具有第三路径的网络数据包;所述第三路径指向目标物理网卡;基于所述第三路径将具有所述第三路径的网络数据包,通过所述目标物理网卡发送给所述内网。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:在所述网络数据包为非安全进程发送的数据包的情况下,丢弃所述网络数据包;或者,在所述网络数据包为非安全进程发送的数据包且所述第一路径不指向所述安全隧道的情况下,基于所述第一路径将所述网络数据包发送给所述内网。5.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:获取所述网络数据包的网络标识;根据所述网络数据包的网络标识,确定所述网络数据包是否为安全进程发送的数据包。6.根据权利要求1至4任一项所述的方法,其特征在于,在所述在数据链路层获取沙箱环境下的应用程序发往内网的网络数据包之前,所述方法还包括:在沙箱环境下的应用程序向操作系统内核申请建立网络连接的情况下,获取所述应用程序的进程标识号;根据所述应用程序的进程标识号,确定所述应用程序是否为安全进程;在所述应用程序为安全进程的情况下,基于所述进程标识号对应的网络标识对所述应用程序对应的数据包进行标记,得到所述网络数据包;在所述应用程序为非安全进程的情况下,将所述应用程序对应的数据包确定为所述网络数据包。7.根据权利要求1至4任一项所述的方法...
【专利技术属性】
技术研发人员:易斗,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。